无线安全 - 工具
如今,正确实施无线网络中的安全控制至关重要,因为它直接影响某些企业的盈利能力和信息保密性。应使用无线安全工具定期测试(审计)无线实施。良好的无线安全审计不仅是实际测试,而且是适当的文档,包括如何使 WLAN 更安全的建议。
有很多可能的审计,可以尝试执行 −
- 第 1 层审计
- 第 2 层审计
- WLAN 安全审计
- 有线基础设施审计
- 社会工程审计
- 无线入侵防御系统 (WIPS) 审计
Wi-Fi 安全审计工具
在上一部分中,我们列出了一组可以执行的审计,以评估无线实施的安全性。我们将尝试逐一介绍这些要点,并了解 – 首先,为什么特定审计是相关的,其次,如何执行它。
第 1 层和第 2 层审计
第 1 层审计的目标是确定 RF 覆盖范围(基于性能的站点调查的一部分)并找出潜在的 RF 干扰源(安全审计的一部分,用于识别第 1 层 DoS 的来源)。在无线安全审计期间,人们进行频谱分析以检测任何连续发射器或故意放置 RF 干扰器(导致第 1 层 DoS)。
对于第 2 层无线审计,目标是检测任何恶意设备或未经授权的 802.11 设备。在没有部署无线 IPS (WIPS) 监控的环境中,执行第 2 层审计至关重要(否则 WIPS 会自动完成这项工作,因为这是它的工作)。
审计员在执行第 2 层站点调查时应关注的要点列表是:MAC 地址、SSID、正在使用的设备类型、流量类型、正在使用的通道、可能的默认配置、可能发生的第 2 层攻击、临时客户端等。
在执行第 1 层或第 2 层审计时,审计员可能会使用以下工具 −
协议嗅探器/分析器(例如 Wireshark)
2.4/5 GHz 信号注入器。
攻击性工具(mdk3、Void11、Bugtraq、IKEcrack、FakeAP、等)
作为示例,我将向您展示一个名为 mdk3 的工具。它是一种概念验证工具,可用于利用无线网络。仅举几个例子,它允许您执行 −
泛滥假信标工具(作为模仿假 AP 的一种方式)。
身份验证帧的 DoS(如果存在漏洞,可能会导致 AP 冻结或重新启动)。
大量解除关联/取消身份验证帧(将有效用户踢出网络)。
802.1X 无线安全测试。
滥用无线入侵防御/检测系统 (WIPS/WIDS) 和其他有害的东西。
使用创建第 2 层取消身份验证帧的 DoS您的 kali Linux(mdk3 工具)非常简单,只需一个命令即可实现,如以下屏幕截图所示。
当然,总有多种方法可以获得相同的结果。您可以使用 aireplay-ng 工具获得相同的效果。"-a"后的 MAC 地址是广播特定 WLAN 网络的 AP 的 BSSID 值。
WLAN 安全审计
WLAN 安全审计的目标是调查特定 WLAN 是否以及如何受到损害。潜在攻击者会寻找的弱点类型(以及无线安全审计员应该关注的弱点)主要与身份验证、加密、部署的 WLAN 类型、使用的弱密钥等有关。
适合该用途的工具是 −
协议嗅探器/分析器(例如 Wireshark)。
无线发现工具(例如 NetStumbler、Kismet、Win Sniffer、WiFiFoFum 等)。
加密/身份验证破解(测试)工具(aircrack-ng、自定义脚本、各种加密分析工具)。
如您所见,基本的 WLAN 安全审计不需要专门的软件。使用智能手机上的应用程序就可以完成这项工作!
有线基础设施审计
对于无线网络通信,其有线部分也需要得到保护,以便整个系统被视为安全。有线基础设施审计应涵盖以下指针 −
- 检查用于限制 WLAN 用户访问某些网络资源的防火墙。
- 应禁用未使用的交换机端口接口。
- 应使用强密码,并尽可能使用内置加密的协议(HTTPS、SSH)。
社会工程审计
社会工程是一种使用非技术方法获取信息的"攻击"。与其试图破解无线密码,不如直接询问是否更简单?也许获取 WPS PIN 会更容易,这样您就可以连接到受保护的 WLAN?
这些场景听起来很神奇,但我可以向您保证,它们在现实生活中也会发生。为了防止这种情况发生,最重要的是要知道哪些数据应该保密,哪些数据可以共享。在您是网络"管理员"的家庭环境中,只有您才能决定哪些数据应该保密。另一方面,在企业环境中,安全部门的职责是发布安全意识活动,教育员工,让他们知道什么是无线网络的正确使用,什么是滥用。
无线入侵防御系统
在有线网络上,入侵防御系统 (IPS) 用于对传输的数据包进行深度数据包检查,以查找异常、木马或其他恶意代码。
在无线世界中,情况类似,但侧重于对恶意无线设备做出反应,而不是安全事件。无线入侵防御系统 (WIPS) 专注于检测和防止未经授权的无线设备的使用。WIPS 背后的整个想法是让基础设施中的某些 AP 专门配置为 WIPS 模式(不广播任何 WLAN 网络或允许用户关联)。这些 AP 已针对特定频道进行了预配置,它们只是一直监听频谱,寻找异常。
另一种方法是使用一组专用的无源传感器(而不是 AP)来执行此工作。您可能期望看到的不同类型的异常包括:大量取消认证帧或大量解除关联帧、检测由具有未知 BSSID 的 AP 广播的 WLAN 等。如果您考虑深度数据包检查或恶意代码检测,则仍然需要在有线网络上使用专用 IPS/IDS 设备进行检测。
作为攻击者,您无法运行 WIPS 解决方案,因为它是一种防御性技术措施。由于其价格和管理开销,只有较大的企业才能运行它(但仍然非常罕见)。WIPS 解决方案的可能部署之一可以基于 Cisco 无线基础设施模型。Cisco 无线解决方案(最简单的形式)基于无线 LAN 控制器 (WLC) 和一组 AP。 WIPS 解决方案会假设某些 AP 已脱离常规 WLAN 服务,并设置为 IPS 模式,专门用于检查频谱。
思科无线局域网控制器 (WLC) 的主页如下所示(机密字段已用黑色圆圈覆盖)。
此特定 WLC 当前正在管理已加入的 38 个 AP。所有 AP 的详细列表及其 MAC 地址、IP 地址和 AP 模式可在"无线"选项卡下查看。
当前加入的所有 AP 均设置为"本地模式"。这意味着它们致力于提供常规无线覆盖,并宣布所有已配置的 WLAN。为了将特定 AP 转换为我们所知道的"IPS 模式",我们需要单击其中一个 AP 并将其"AP 模式"更改为特殊的"监控模式"。
将 AP 设置为"监控"模式并应用更改后,AP 将重新启动。从那时起,它唯一的工作就是监听频谱并检测无线端攻击。默认情况下,WLC 具有 AP 将查找的预定义签名集。它们列在以下屏幕截图中 −
如您所见,项目编号 9 为"Deauth Flood",帧类型为 - Management,对应的操作为 - Report(这意味着它只会使用日志消息通知有关攻击的信息,但不会采取任何操作)。
使用我们这里的设置,当潜在攻击者使用 mdk3 或 aireplay-ng 工具干扰基于 Cisco Wireless Infrastructure 的现有 WLAN 网络时,将检测到攻击并通知网络管理员。还有其他产品可能会将无线安全性提升到一个新的水平。使用无线跟踪服务,该工具可能会在一些非常安全的位置检测到您的确切地理位置,也许会有警卫来检查攻击源,或者可能会报警。
正如我之前提到的,您只能在企业环境中遇到这样的设置。在较小的部署或家庭环境中,您不会遇到这样的安全措施。